Habilitar y Renombrar el Administrador Local Usando Group Policies (Directivas de Grupo)

Una muy buena medida de seguridad en todas las últimas versiones de Windows cliente, es que la cuenta predefinida de Administrador (“Administrator”) por omisión queda deshabilitada

Pero a veces es conveniente, por diferentes motivos tenerla habilitada, pero para mitigar los riesgos podemos cambiarle el nombre a esta cuenta

Aunque es fácil hacerlo manualmente en cada máquina, si lo anterior lo debemos hacer en muchas máquinas, entonces puede ser algo tedioso. Pero lo podemos hacer en forma masiva a través de Directivas de Grupo (“Group Policies = GPO)

Para esta demostración utilizaré las mismas máquinas que en todas las notas: un Controlador de Dominio (DC1.ad.guillermod.com.ar) y un cliente (CL1.ad.guillermod.com.ar)

Como podemos observar en CL1, está la configuración por omisión: la cuenta “Administrator” (lo tengo en inglés) está deshabilitada

La máquina CL1 la he puesto en una Unidad Organizativa “TestOU” para aplicarle un GPO y no afectar al resto de las máquinas y servidores del Dominio

Vamos entonces a crear y enlazar una GPO en esta Unidad Organizativa

Le asignamos a la GPO un nombre descriptivo

Y vamos a configurarla

Primero habilitaremos la cuenta de administrador, para lo cual debemos ir a “Computer Configuration / Policies / Windows Settings / Security Settings / Local Policies / Security Options” y editar “Accounts: Administrator account status”

Definimos la configuración y seleccionamos que la habilite

Con la configuración ya hecha habilitaremos la cuenta, pero por seguridad en los próximos pasos renombraremos la cuenta predefinida de administrador

Para esto debemos ingresar a “Computer Configuration / Preferences / Control Panel Settings / Local Users and Groups”, y con botón derecho elegir “New / Local User”

Desde la lista desplegable elegimos “Administrator (built in)”, le asignamos un nuevo nombre, yo he elegido “LocalAdmin”, le asignamos una contraseña segura, y en mi caso desmarqué la opción para que tenga que cambiarla en el primer inicio

El sistema me da un aviso de seguridad indicando que aunque en protegida en cierta forma, esta contraseña estará en la carpeta SYSVOL

Y entiendo, que por esto último, queda con una marca amarilla de atención

Luego en CL1, para no esperar actualizamos la aplicación de la GPO con GPUPDATE /FORCE y si vamos a la administración de usuario locales podemos observar que la cuenta está habilitada y renombrada

Y por si a alguien le quedan dudas, podemos ver que esta cuenta puede inciar sesión normalmente

  

Como hemos podido ver, en ambientes donde no es crítica la seguridad en las máquinas cliente, esta puede ser una configuración conveniente

By Guillermo Delprato, on 20 enero, 2015 at 12:25, under Active Directory - Directorio Activo, Administración, How To - Step-by-step - Paso a paso, Tips, Windows Server, Windows Server 2012, Windows Server 2012 R2. Tags: , , , , , , , , . No hay comentarios
Post a comment or leave a trackback: Trackback URL.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *